مایکروسافت وصلههایی را برای رفع ۷۳ نقص امنیتی[۱] در مجموعه نرمافزار خود به عنوان بخشی از بهروزرسانیهای Patch Tuesday برای فوریه ۲۰۲۴ منتشر کرده است، از جمله دو نقص روز صفر که تحت بهرهبرداری فعال قرار گرفتهاند.
از ۷۳ آسیبپذیری، ۵ آسیبپذیری بحرانی، ۶۵ آسیبپذیری مهم، و سه آسیبپذیری متوسط درجهبندی شدهاند. این علاوه بر ۲۴ نقص[۲] است که از زمان انتشار بهروزرسانیهای Patch Tuesday در ۲۴ ژانویه[۳] در مرورگر اج مبتنی بر Chromium برطرف شده است.
دو نقصی که در زمان انتشار تحت حمله فعال فهرست شدهاند در زیر آمدهاند:
- CVE-2024-21351 (امتیاز ۶/۷ در مقیاس CVSS) – آسیبپذیری دور زدن ویژگی امنیتی Windows SmartScreen
- CVE-2024-21412 (امتیاز ۱/۸ در مقیاس CVSS) – آسیبپذیری دور زدن ویژگی امنیتی فایل های میانبر اینترنت
مایکروسافت در مورد CVE-2024-21351 گفت: “این آسیبپذیری به یک عامل مخرب اجازه میدهد تا کد را به [۴]SmartScreen تزریق کند و به طور بالقوه اجرای کد را به دست آورد که به طور بالقوه میتواند منجر بهقرار گرفتن در معرض برخی از دادهها، عدم دسترسی به سیستم یا هر دو شود.”
بهرهبرداری موفقیتآمیز از این نقص میتواند به مهاجم اجازه دهد تا محافظتهای SmartScreen را دور بزند و کد دلخواه را اجرا کند. بااینحال، برای اینکه حمله کار کند، عامل تهدید باید یک فایل مخرب برای کاربر ارسال کند و کاربر را متقاعد کند که آن را باز کند.
CVE-2024-21412، به روشی مشابه، به یک مهاجم احراز هویت نشده اجازه میدهد تا با ارسال یک فایل ساختهشده مخصوص به کاربر هدف، بررسیهای امنیتی نمایشدادهشده را دور بزند.
بااینحال، مهاجم هیچ راهی برای وادارکردن کاربر به مشاهده محتوای کنترل شده توسط مهاجم ندارد. در عوض، مهاجم باید با کلیککردن روی پیوند فایل، آنها را متقاعد کند که اقدامی انجام دهند.
CVE-2024-21351 دومین باگ از نوع دورزدن است که پس از [۵]CVE-2023-36025 (امتیاز ۸/۸ در مقیاس CVSS) در SmartScreen کشف شد که توسط این غول فناوری در نوامبر ۲۰۲۳ وصل شد. از آن زمان این نقص توسط چندین گروه هکری مانند DarkGate، Phemedrone Stealer و Mispadu مورد بهرهبرداری قرار گرفته است[۶].
Trend Micro که یک کمپین حمله انجام شده توسط Water Hydra[7] (معروف به DarkCasino) را باهدف قراردادن معاملهگران بازار مالی با استفاده از یک زنجیره حمله پیشرفته روز صفر با استفاده از CVE-2024-21412 شرح میدهد، CVE-2024-21412 را بهعنوان یک آسیبپذیری دورزدن برای CVE-2023-36025 توصیف میکند. در نتیجه عوامل تهدید را قادر میسازد تا از بررسی SmartScreen فرار کنند.
Water Hydra که برای اولینبار در سال ۲۰۲۱ شناسایی شد، سابقه حمله به بانکها، پلتفرمهای ارزهای دیجیتال، سرویسهای معاملاتی، سایتهای قمار و کازینو برای ارائه تروجانی به نام DarkMe با استفاده از بهره بردارهای روز صفر، از جمله نقص WinRAR را دارد که در آگوست ۲۰۲۳ آشکار شد. ([۸]CVE-2023-38831، امتیاز ۸/۷ در مقیاس CVSS).
اواخر سال گذشته، شرکت امنیت سایبری چینی NSFOCUS گروه هک «باانگیزه اقتصادی» را به یک تهدید دائمی پیشرفته (APT) تبدیل کرد.
Trend Micro گفت[۹]: «در ژانویه ۲۰۲۴، Water Hydra زنجیره Hg,n’d خود را با بهرهبرداری از CVE-2024-21412 برای اجرای یک فایل نصبکننده مخرب مایکروسافت (.MSI) بهروزرسانی کرد و فرایند آلودگی DarkMe را سادهسازی کرد.»
هر دو آسیبپذیری از آن زمان به کاتالوگ آسیبپذیریهای شناخته شده (KEV[10]) توسط آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) اضافه شدهاند[۱۱] و از آژانسهای فدرال میخواهند تا آخرین بهروزرسانیها را تا ۵ مارس ۲۰۲۴ اعمال کنند.
همچنین این پنج نقص مهم توسط مایکروسافت وصله شدهاند:
- CVE-2024-20684 (امتیاز ۵/۶ در مقیاس CVSS) – آسیبپذیری انکار سرویس Windows Hyper-V
- CVE-2024-21357 (امتیاز ۵/۷ در مقیاس CVSS) – آسیبپذیری اجرای کد از راه دور Windows Pragmatic General Multicast (PGM)
- CVE-2024-21380 (امتیاز ۰/۸ در مقیاس CVSS) – آسیبپذیری افشای اطلاعات Microsoft Dynamics Business Central/NAV
- CVE-2024-21410 (امتیاز ۸/۹ در مقیاس CVSS) – آسیبپذیری امتیاز ارتقاء سرور Microsoft Exchange
- CVE-2024-21413 (امتیاز ۸/۹ در مقیاس CVSS) – آسیبپذیری اجرای کد از راه دور Microsoft Outlook
ساتنام نارنگ، مهندس تحقیقات ارشد کارکنان در Tenable در بیانیهای گفت: «CVE-2024-21410 یک آسیبپذیری برتر در Microsoft Exchange Server است. طبق گفته مایکروسافت، این نقص بیشتر توسط مهاجمان مورد بهرهبرداری قرار می گیرد.»
استفاده از این آسیبپذیری میتواند منجر به افشای هش Net-New Technology LAN Manager (NTLM) نسخه ۲ کاربر مورد نظر شود که میتواند به یک Exchange Server آسیبپذیر در یک رله NTLM یا حمله هش ارسال شود که به مهاجم اجازه میدهد تا به عنوان کاربر هدف احراز هویت کند.
بهروزرسانی امنیتی ۱۵ نقص اجرای کد از راه دور را در ارائهدهنده Microsoft WDAC OLE DB برای SQL Server برطرف میکند که مهاجم میتواند با فریب یک کاربر احراز هویت شده برای اتصال به سرور SQL مخرب از طریق OLEDB از آنها بهرهبرداری کند.
گرد کردن وصله راهحلی برای CVE-2023-50387 (امتیاز ۵/۷ در مقیاس CVSS)، یک نقص طراحی ۲۴ ساله در مشخصات DNSSEC است که میتواند برای پایان دادن به منابع CPU و توقف حل کننده های DNS مورد سوء استفاده قرار گیرد و منجر به DoS شود.
این آسیبپذیری توسط مرکز تحقیقات ملی امنیت سایبری کاربردی (ATHENE) در Darmstadt با نام رمز KeyTrap شناخته شده است.
محققان میگویند[۱۲]: «آنها نشان دادند که تنها با یک بسته DNS، حمله میتواند CPU را خسته کند و تمام پیادهسازیهای DNS پرکاربرد و ارائهدهندگان DNS عمومی، مانند Google Public DNS و Cloudflare را متوقف کند. در واقع، پیادهسازی محبوب [۱۳]BIND 9 DNS میتواند تا ۱۶ ساعت متوقف شود.»
وصلههای نرمافزاری از سایر فروشندگان
علاوه بر مایکروسافت، بهروزرسانیهای امنیتی توسط سایر فروشندگان نیز از ابتدای ماه جاری برای اصلاح چندین آسیبپذیری منتشر شده است، از جمله:
- Adobe
- AMD
- Android
- Arm
- ASUS
- Atos
- Canon
- Cisco
- Dell
- Drupal
- ExpressVPN
- F5
- Fortinet
- GitLab
- Google Chrome
- Google Cloud
- Hitachi Energy
- HP
- IBM
- Intel
- ISC BIND 9
- Ivanti
- JetBrains TeamCity
- Juniper Networks
- Lenovo
- Linux distributions Debian, Oracle Linux, Red Hat, SUSE, and Ubuntu
- Mastodon
- MediaTek
- Mitsubishi Electric
- Mozilla Firefox, Firefox ESR, and Thunderbird
- NVIDIA
- PowerDNS
- QNAP(more details about CVE-2023-47218 and CVE-2023-50358)
- Qualcomm
- Rockwell Automation
- Samsung
- SAP
- Schneider Electric
- Siemens
- SolarWinds
- SonicWall
- Spring Framework
- Synology
- Veeam
- Veritas
- VMware
- WordPress
- Zoom
- Zyxel
منابع
[۱] https://msrc.microsoft.com/update-guide/releaseNote/2024-Feb
[۲] https://learn.microsoft.com/en-us/deployedge/microsoft-edge-relnotes-security
[۳] https://thehackernews.com/2024/01/microsofts-january-2024-windows-update.html
[۴] https://learn.microsoft.com/en-us/windows/security/operating-system-security/virus-and-threat-protection/microsoft-defender-smartscreen
[۵] https://thehackernews.com/2023/11/alert-microsoft-releases-patch-updates.html
[۶] https://thehackernews.com/2024/02/new-mispadu-banking-trojan-exploiting.html
[۷] https://thehackernews.com/2023/11/experts-uncover-darkcasino-new-emerging.html
[۸] https://thehackernews.com/2023/08/winrar-security-flaw-exploited-in-zero.html
[۹] https://www.trendmicro.com/en_us/research/24/b/cve202421412-water-hydra-targets-traders-with-windows-defender-s.html
[۱۰] https://www.cisa.gov/news-events/alerts/2024/02/13/cisa-adds-two-known-exploited-vulnerabilities-catalog
[۱۱] https://www.cisa.gov/known-exploited-vulnerabilities-catalog
[۱۲] https://www.presseportal.de/pm/173495/5713546
[۱۳] https://kb.isc.org/docs/cve-2023-50387
[۱۴] https://thehackernews.com/2024/02/microsoft-rolls-out-patches-for-73.html
ثبت ديدگاه